ipa-replica-manage - Online în cloud

PROGRAM:

NUME

ipa-replica-manage - Gestionați o replică IPA

REZUMAT

ipa-replica-manage [OPȚIUNE]... [COMANDĂ]

DESCRIERE

Gestionează acordurile de replicare ale unui server IPA.

Pentru a gestiona acordurile de replicare IPA într-un domeniu la nivelul de domeniu 1, utilizați IPA CLI sau Web UI,
vedeți `ipa help topology` pentru informații suplimentare.

Comenzile disponibile sunt:

conectaţi [SERVER_A]
- Adaugă un nou acord de replicare între SERVER_A/localhost și SERVER_B. La
Nivelul de domeniu 1 aplicabil numai pentru acordurile Winsync.

deconecta [SERVER_A]
- Înlătură un acord de replicare între SERVER_A/localhost și SERVER_B. La
Nivelul de domeniu 1 aplicabil numai pentru acordurile Winsync.

del
- Elimina toate acordurile de replicare si datele despre SERVER. La nivelul de domeniu 1 it
elimină datele și acordurile pentru ambele sufixe - domeniu și ca.

listă [SERVER]
- Listează toate serverele sau lista de acorduri ale SERVER

reinițializați
- Forțează o reinițializare completă a serverului IPA care preia date de pe server
specificat cu opțiunea --from

forță-sincronizare
- Ștergeți imediat orice date care urmează să fie replicate de pe un server specificat cu
--de la opțiune

list-ruv
- Listați ID-urile de replicare pe acest server.

curat-ruv [REPLICATION_ID]
- Rulați sarcina CLEANALLRUV pentru a elimina un ID de replicare.

curat-atârnând-ruv
- Curăță toate RUV-urile și CS-RUV-urile rămase în sistem de la dezinstalat
replici.

abort-clean-ruv [REPLICATION_ID]
- Anulați o sarcină CLEANALLRUV care rulează. Cu opțiunea --force sarcina nu așteaptă
toate serverele de replică să fi fost trimise sarcina de anulare sau să fie online înainte
completând.

listă-curată-ruv
- Listați toate activitățile CLEANALLRUV care rulează și anulați sarcinile CLEANALLRUV.

dnarange-show [SERVER]
- Enumerați intervalele de ADN

dnarange-set SERVER START-END
- Setează intervalul ADN pe un master

dnanextrange-show [SERVER]
- Enumerați următoarele intervale de ADN

dnanextrange-set SERVER START-END
- Setează următorul interval ADN pe un master

Opțiunile de conectare și deconectare sunt utilizate pentru a gestiona topologia de replicare. Când un
replica este creată, este conectată doar cu masterul care a creat-o. Conectarea
opțiunea poate fi utilizată pentru a-l conecta la alte replici existente.

Opțiunea de deconectare nu poate fi utilizată pentru a elimina ultima legătură a unei replici. Pentru a elimina un
replica din topologie folosește opțiunea del.

Dacă o replică este ștearsă și apoi adăugată din nou într-un interval de timp scurt, atunci 389-ds
instanța de pe masterul care a creat-o ar trebui repornită înainte de a reinstala
replica. Master-ul va avea vechile principale de serviciu stocate în cache, ceea ce va cauza
replicarea să eșueze.

Fiecare server principal IPA are un ID de replicare unic. Acest ID este folosit de 389-ds-base atunci când
stocarea informațiilor despre starea de replicare. Ieșirea constă din master și lor
ID-ul de replicare respectiv. Vedea curat-ruv

Când un master este eliminat, toți ceilalți master trebuie să-și elimine ID-ul de replicare din
lista de maeștri. În mod normal, acest lucru se întâmplă automat când un master este șters cu
ipa-replica-manage. Dacă unul sau mai mulți master au fost opriți sau inaccesibil atunci când ipa-replica-manage
a fost executat, atunci este posibil ca acest ID de replică să mai existe. Comanda clean-ruv poate fi folosită pentru
curățați un ID de replicare neutilizat.

NOTĂ: curat-ruv este FOARTE PERICULOS. Poate rezulta execuția împotriva ID-ului de replicare greșit
în date inconsistente despre acel master. Masterul ar trebui să fie reinițializat dintr-un alt dacă
asta se intampla.

Topologia de replicare este examinată atunci când un master este șters și va încerca să prevină
un maestru de la rămas orfan. De exemplu, dacă topologia ta este A <-> B <-> C și tu
încercarea de a șterge masterul B va eșua, deoarece asta ar lăsa master și A și C
orfan.

Lista de master este stocată în cn=masters,cn=ipa,cn=etc,dc=example,dc=com. Asta ar trebui
să fie curățat automat când un master este șters. Dacă se întâmplă că ați șters
masterul și toate acordurile, dar aceste intrări încă există atunci nu vei putea
pentru a reinstala IPA pe el, instalarea va eșua cu:

O gazdă master IPA nu poate fi ștearsă sau dezactivată folosind comenzi standard (host-del, for
exemplu).

Un master orfan poate fi curățat folosind directiva del cu opțiunea --cleanup.
Acest lucru va elimina intrările din cn=masters,cn=ipa,cn=etc care altfel împiedică host-del
de la funcționare, profilul său de ADN, configurația s4u2proxy, principalele de servicii și eliminați-l
din profilul DUA implicit defaultServerList.

OPŢIUNI

-H HOST, --gazdă=HOST
Serverul IPA de gestionat. Implicit este mașina pe care este executată comanda
Nu este onorat de comanda reinițializare.

-p DM_PAROLA, --parola=DM_PAROLA
Parola Director Manager de utilizat pentru autentificare

-v, --verbos
Furnizați informații suplimentare

-f, --forta
Ignorați unele tipuri de erori, nu solicitați când ștergeți un master

-c, --fără-căutare
Nu efectuați verificări de căutare DNS.

-c, --a curăța
Când ștergeți un master cu indicatorul --force, eliminați referințele rămase la un
master deja șters.

--binddn=ADMIN_DN
Leagă DN pentru a fi utilizat cu serverul de la distanță (implicit este cn=Directory Manager) - Fii atent la
citați această valoare pe linia de comandă

--bindpw=ADMIN_PWD
Parola pentru Bind DN de utilizată cu serverul la distanță (implicit este DM_PASSWORD de mai sus)

--winsync
Specifică crearea/utilizarea unui acord de sincronizare Windows

--cacert=/cale/la/cacertfile
Calea completă și numele de fișier al certificatului CA de utilizat cu TLS/SSL către serverul de la distanță -
acest certificat CA va fi instalat în certificatul serverului de director
Baza de date

--win-subtree=cn=Utilizatori,dc=exemplu,dc=com
DN al subarborescului Windows care conține utilizatorii pe care doriți să-i sincronizați (implicit
cn=Utilizatori, - aceasta este de obicei ceea ce Windows AD folosește ca implicit
valoare) - Aveți grijă să citați această valoare pe linia de comandă

--passsync=PASSSYNC_PWD
Parola pentru utilizatorul sistemului IPA utilizată de pluginul Windows PassSync pentru sincronizare
parolele. Necesar atunci când utilizați --winsync. Acest lucru nu înseamnă că trebuie să utilizați
Serviciu PassSync.

--din=SERVER
Serverul de la care extrage datele, utilizat de reinițializarea și sincronizarea forțată
comenzi.

GAMA

IPA folosește pluginul 389-ds Distributed Numeric Assignment (DNA) pentru a aloca ID-uri POSIX pentru
utilizatori și grupuri. Un interval este creat atunci când IPA este instalat și jumătate din interval este alocat
la primul master IPA în scopul alocării.

Noii maeștri IPA nu primesc automat o atribuire de gamă ADN. O alocare de gamă este
se face numai atunci când un utilizator sau un grup POSIX este adăugat pe acel master.

Plugin-ul DNA acceptă, de asemenea, o configurație „pe punte” sau următoarea gamă. Când primarul
gama este epuizată, mai degrabă decât să meargă la un alt maestru pentru a cere mai mult, acesta îl va folosi
raza de acțiune pe punte dacă este definită una. Fiecare comandant poate avea doar o raza de actiune si una pe punte
definit.

Când un master este îndepărtat, se încearcă salvarea gamei ADN-ului său pe un alt master
în raza sa de pe punte. IPA nu va încerca să extindă sau să îmbine intervalele. Dacă nu există
sloturile disponibile pe punte, atunci acest lucru este raportat utilizatorului. Gama este eficientă
pierdut, cu excepția cazului în care este îmbinat manual în intervalul altui master.

Intervalul ADN și valorile de pe punte (următorul) pot fi gestionate folosind set-ul dnarange și
dnanextrange-set comenzi. Regulile pentru gestionarea acestor intervale sunt:
- Intervalul trebuie să fie complet cuprins într-un interval local, așa cum este definit de ipa
comanda idrange.

- Intervalul nu poate suprapune intervalul ADN sau domeniul de pe punte pe un alt master IPA.

- Intervalul nu se poate suprapune pe intervalul ID al unui AD Trust.

- Intervalul ADN primar nu poate fi eliminat.

- Un interval de interval de pe punte poate fi eliminat prin setarea lui la 0-0. Presupunerea este
că intervalul va fi mutat manual sau îmbinat în altă parte.

Intervalul și următorul interval al unui anumit master pot fi afișate prin transmiterea FQDN-ului acestuia
maestru la comanda dnarange-show sau dnanextrange-show.

Efectuarea modificărilor intervalului ca administrator delegat (de exemplu, neutilizarea Directorului
Parola manager) necesită ACI-uri 389-ds suplimentare. Acestea sunt instalate în master upgrade
dar nu cele existente. Modificările sunt făcute în cn=config care nu este replicat. The
rezultatul este că intervalele ADN nu pot fi gestionate pe master neupgradate ca delegat
administrator.

EXEMPLE

Listați toți maeștrii:
# ipa-replica-manage list
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com

Listați acordurile de replicare ale unui server.
# ipa-replica-manage list srv1.example.com
srv2.example.com
srv3.example.com

Reinițializați o replică:
# ipa-replica-manage re-initialize --from srv2.example.com

Aceasta va reinițializa datele de pe serverul unde executați comanda,
preluarea datelor din replica srv2.example.com

Adăugați un nou acord de replicare:
# ipa-replica-manage connect srv2.example.com srv4.example.com

Eliminați un acord de replicare existent:
# ipa-replica-manage disconnect srv1.example.com srv3.example.com

Eliminați complet o replică:
# ipa-replica-manage del srv4.example.com

Utilizând conectarea/deconectarea, puteți gestiona topologia de replicare.

Listați ID-urile de replicare utilizate:
# ipa-replica-manage list-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4

Eliminați referințele la un master orfan și șters:
# ipa-replica-manage del --force --cleanup master.example.com

WINSYNC

Crearea unui acord de sincronizare Windows AD este similară cu crearea unei replicări IPA
acord, sunt doar câțiva pași suplimentari.

Este creată o intrare specială de utilizator pentru serviciul PassSync. DN-ul acestei intrări este
uid=passsync,cn=sysaccounts,cn=etc, . Nu vi se cere să utilizați PassSync pentru a utiliza a
Acord de sincronizare Windows, dar este necesară setarea unei parole pentru utilizator.

Următoarele exemple utilizează contul de administrator AD ca utilizator de sincronizare. Acest
nu este obligatoriu, dar utilizatorul trebuie să aibă acces de citire la subarborele.

1. Transferați certificatul Windows AD CA codificat în base64 pe serverul dumneavoastră IPA

2. Eliminați orice acreditări Kerberos existente
# kdestroy

3. Adăugați acordul de replicare winsync
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
„cn=administrator,cn=users,dc=ad,dc=example,dc=com” --bindpw
-v

Vi se va solicita să furnizați parola directorului director.

Creați un acord de replicare Winsync:

# ipa-replica-manage connect --winsync --passync=MySecret
--cacert=/root/WIN-CA.cer --binddn
„cn=administrator,cn=users,dc=ad,dc=example,dc=com” --bindpw MySecret -v
windows.ad.example.com

Eliminați un acord de replicare Winsync:
# ipa-replica-manage deconectare windows.ad.example.com

PASSSYNC

PassSync este un serviciu Windows care rulează pe controlere de domeniu AD pentru a intercepta parola
schimbări. Trimite aceste modificări de parolă către serverul IPA LDAP prin TLS. Aceste parole
modificările ocolesc setările normale ale politicii de parole IPA și parola nu este setată la
expiră imediat. Acest lucru se datorează faptului că până în momentul în care IPA primește modificarea parolei pe care o are
a fost deja acceptat de AD, așa că este prea târziu să-l respingem.

IPA menține o listă de DN-uri care sunt scutite de politica de parole. Se adaugă un utilizator special
automat când este creat un acord de replicare winsync. DN-ul acestui utilizator este
adăugat la lista de scutiri stocată în passSyncManagersDNs din intrare
cn=ipa_pwd_extop,cn=plugins,cn=config.

EXIT STAREA

0 dacă comanda a avut succes

1 dacă a apărut o eroare

Utilizați ipa-replica-manage online folosind serviciile onworks.net